Translate

quinta-feira, 29 de maio de 2014

Segurança da Informação não é despesa, é Investimento.


                                                                                            Q.     D'arc 



RESUMO

O cenário tecnológico está em constante evolução. A comunicação por meios informatizados entre pessoas e empresas tornou-se premissa. Hoje em dia, podemos afirmar que é impossível imaginar uma empresa ou organização que não utiliza sistema de informação. O uso evolutivo da tecnologia na vida das pessoas e no mundo corporativo, é um avanço positivo. Contudo, não podemos suprimir o fato de que essas informações se conectam a rede, permanecendo expostas a riscos e vulnerabilidades, além de fenômenos naturais e frutos de fatalidade que podem extingui-las e danificá-las. Baseado nessa constatação, a segurança da informação objetiva garantir a proteção dos dados, evitando prejuízos e mantendo a integridade e disponibilidade das informações. Apesar de sua relevante importância no mundo da tecnologia, investir em Segurança da Informação muitas vezes cai de posição na lista de prioridade das empresas.


INTRODUÇÃO


Apegados a falsa ideia de estamos seguros e que as coisas nunca nos acontecerão, não damos a devida importância aos nossos dados e informações pessoais. A segurança, em contexto geral, está diretamente relacionada ao abrigo de quaisquer perigo, dano ou risco. Quando dizemos que algo está seguro, dizemos que ele está protegido, estável. Na segurança da informação não é diferente. Ela está diretamente relacionada com a proteção das informações, com proteger seus valores e a importância que eles possuem para as pessoas e organizações. Embora seja fundamental investir em segurança, a maioria das empresas não reconhecem seu real valor e estabelecem outras prioridades de investimento.
Imagine a seguinte situação. Você está dirigindo tranquilamente. De repente, ascende aquela luz que parece uma lâmpada mágica no painel. O cheiro de fumaça invade todo carro, ele da um tranco e para. Então você lembra, que deveria ter completado o nível do óleo há algumas semanas atrás, mas preferiu não gastar os R$ 120,00. Compreendendo a gravidade do problema agora, você chama o guincho e leva o carro até a mecânica, mas é tarde demais. O motor fundiu. Precisa ser refeito e o custo médio gira em torno de R$3.000. Então você para, e se questiona. Como considero agora, os RS120.00 que deveria ter gastado no óleo? Despesa ou investimento? Eis aqui, um exemplo simples e cotidiano, onde é possível observar como as pessoas só se dão conta de que precisam mitigar riscos quando por auto experiência presenciam fatos.
Investir em segurança da informação em um tempo onde a tecnologia opera integralmente e envolve todos os âmbitos organizacionais é precaução, é agregação de valor ao negócio envolvido. Se ainda resta alguma dúvida quanto a essa questão, tente imaginar o que aconteceria se um banco perdesse todos os seus dados. Sabendo da importância que a informação tem para sobrevivência de uma empresa é preciso atuar de forma plena nas questões que envolvem segurança e proteção das informações, aplicando medidas preventivas e estratégicas.



1. Retorno Sobre o Investimento (ROI - Return On Investment)

No mundo globalizado e tecnológico que vivemos atualmente, fazer segurança de qualquer dado vai muito além de ser importante, é essencial. Geralmente, quando se fala em investir em segurança, principalmente segurança da informação, a primeira pergunta feita pelos gestores e executivos das empresas e organizações, circunda no retorno que obterão sobre o valor investido. Qual será o lucro líquido sobre o valor gasto.
O ROI, (Return on Investment) é originalmente um sistema baseado em números que serve como medida de avaliação do desempenho de um investimento. Não há problema algum em se aplicar ROI nos investimentos de segurança da informação. O problema está concentrado, em esperar um resultado antecipado e elevado na taxa de retorno sobre um investimento, que objetiva evitar prejuízos, garantir a proteção das informações, minimizar perdas e reduzir custos.


2. Como a Segurança da Informação pode Agregar Valor ao Negócio

Induzidos pelo visível, muitas vezes atribuímos valor ao que é grandiosamente notável ao nossos olhos. Embora a informação seja de fundamental importância em nossas vidas, nem sempre atribuímos a ela seu devido valor. Muitas pessoas e empresas não enxergam suas informações como um bem (um patrimônio), não reconhecem o valor dos ativos digitais. Os consideram como pilhas de papel, ou dados armazenados em computadores usados em processos burocráticos.
A segurança da informação, visa muito além de assegurar ou proteger dados. Ela trabalha em cima de mitigação de riscos, de agregação de valor ao negócio, de redução de custos. Seu entendimento deve ser benéfico e preventivo, não dispêndio e custoso.


3. De que forma a Segurança da Informação deve ser tratada corporativamente

Antes de pensar em tratar a segurança das informações de um ambiente corporativo, deve-se de forma rígida conhecer o cenário interno para um melhor gerenciamento e tomada de decisões.
Tratar de segurança corporativa, requer encontrar métodos que avalie constantemente os ativos internos digitais, assim como fazer analises de riscos e identificação das vulnerabilidades, seguidas de mitigação prévia. Conhecer bem todos os processos que envolve o ambiente corporativo, a infraestrutura dos ativos e as tecnologias e métodos usados, colabora para o entendimento profundo do processo de segurança, evitando assim, sobrecarga das redes e realidade distorcida no caso de inconsistência de dados.



4. Quem é e como deve se comportar corporativamente o principal executivo de Segurança da Informação.

O CSO (Chief Security Officer) é um profissional com responsabilidade legal pelas áreas de riscos e segurança da Informação. Ele deve ter ciência de todos os processos da empresa, além de apoiar e conhecer as politicas que serão implantadas. Esse profissional, deve estar ciente que a tecnologia da informação é importante para Segurança, mas é a Segurança da Informação que deve estar hierarquicamente acima da TI. Com a evolução dos incidentes de segurança, o papel desse profissional ganhou espaço e passou de uma profissão técnica para área de negócios das empresas.
O CSO, deve ser dedicado e ter maturidade suficiente para questionar projetos que exibam vulnerabilidades e riscos dentro da organização. Deve garantir que o processo de segurança da informação seja continuo e que suas regras sejam implantadas, explicitando sua importância para governança corporativa e agregando valor .

5. Como se deve defender qualquer investimento em Segurança da Informação perante a alta direção.

As pessoas foram induzidas pela sociedade e pela religiosidade ao longo do tempo, a acreditarem uma nas outras. Talvez por isso, seja difícil convencer a alta direção, apesar de apontarmos riscos e prevermos incidentes, de investir em Segurança.
Um método eficiente para convencer os executivos de que o investimento em segurança é necessário, é mostrar na prática como as coisas acontecem diante dos nossos olhos o tempo todo e não enxergamos simplesmente por não estarmos diretamente envolvidos. Lembremos do atentado de 11 de setembro. Muitas empresas foram extinguidas por perderem todas suas informações e ficarem impossibilitadas de atuar. A ideia que prevalece aqui, é que a informação precisa ser protegida independente de onde ela esteja, seja na nuvem em servidores externos ou em qualquer outro meio de armazenamento.
É relevante também, enfatizar aos gestores e executivos sobre Norma ISO 27001 que trata de segurança da informação e engloba adequadamente pessoas, processos e tecnologia. Conscientizar sobre a relevância da segurança e explicar através de exemplos, como a ausência de controle dessas informações podem impactar severamente na imagem, na operação e na reputação da empresa, é uma boa prática de convencimento.


CONCLUSÃO




Os profissionais de segurança, na maioria das organizações são taxados como “bitolados” paranoicos e pessimistas. Não é que sejam paranoicos e pessimistas, é que eles enxergam uma realidade invisível aos olhos da maioria.
É preciso atear para o fato de que estamos vivendo um tempo de espionagem, de invasão de dados e de privacidade. Há necessidade de conscientizar as pessoas e as empresas de que algumas coisas são invisíveis aos nossos olhos, mas não deixam de ser importantes para nossas vidas. Perceba o oxigênio, não o vemos, mas sabemos da sua relevância para nossa sobrevivência. Sob essa ótica, é possível concluir que uma aplicação financeira na área de segurança da informação não se trata apenas de um investimento, mas da garantia de que o ciclo da informação seja cumprido de forma protegida e estável.

Nenhum comentário:

Postar um comentário